Вразливість Amazon Q Злила AWS Credentials при Відкритті Репозиторію

Кожен тімлід бекенду, який хоч раз казав джуніору «просто склонуй репо і подивись», має зупинитись на цьому. Вразливість у розширенні Amazon Q Developer дозволяла файлу конфігурації воркспейсу виконувати довільні команди в момент, коли розробник відкривав ворожий репозиторій. Без запиту, без попередження, без згоди. Просто виконання коду в тому самому шелі, де зберігаються ваші AWS credentials.

Що Сталося

Дослідники Wiz розкрили CVE-2026-12957 — вразливість у розширенні Amazon Q Developer для Visual Studio Code, яка автоматично виконувала команди, знайдені у файлах конфігурації воркспейсу. Як повідомляло SC Media, достатньо було відкрити скомпрометований репозиторій, щоб запустити ланцюжок. Розширення парсило конфіг, виконувало все, що посіяв зловмисник, а розробник так і не бачив жодного діалогу підтвердження.

Зона ураження — локальна робоча станція, що на практиці означає активні хмарні credentials, API ключі та все інше, що робочий інженер тримає у своєму середовищі. Wiz визначив три правдоподібні вектори атаки: фейкові тестові завдання, що надсилаються під час співбесід, тайпосквотовані open-source пакети, підтягнуті як залежності, та шкідливі pull requests до легітимних проєктів. Кожен із них спирається на одне й те саме припущення довіри: розробник клонує, відкриває, досліджує.

AWS отримав сповіщення 20 квітня і випустив патч 12 травня. Це приблизно три тижні на відповідь вендора щодо баґу класу credential-exfiltration — прийнятно, але не видатно. AWS зазначив, що language server оновлюється автоматично для більшості користувачів, тому ті, хто залишається вразливим сьогодні, — переважно команди з pinned або air-gapped середовищами IDE. Той самий клас вразливості торкнувся розширення в Visual Studio Code, JetBrains, Eclipse та Visual Studio, тому це не особливість одного IDE. Це спільна поведінка бекенду з широким охопленням.

У розкритті також зазначалося, що подібні вразливості вже з'являлися в інших AI-інструментах для написання коду — і це та частина, яка має насторожити платформних лідів.

Технічна Анатомія

Механізм до образливого простий. Сучасні розширення IDE зчитують файли конфігурації воркспейсу під час завантаження проєкту: визначення задач, цілі запуску, підказки для language server і метадані проєкту. Ці файли перебувають під контролем версій, а отже, той, хто володіє репозиторієм, — володіє конфігом. Коли розширення трактує ці значення як виконувані інструкції, а не декларативні дані, ви отримуєте примітив віддаленого виконання коду, замаскований під функцію продуктивності.

У CVE-2026-12957 розширення Amazon Q Developer споживало вміст конфігурації воркспейсу та виконувало вбудовані команди без запиту до користувача. Межа довіри була проведена в неправильному місці. Розширення неявно довіряло будь-якому файлу в будь-якій папці, яку користувач вирішив відкрити — це та сама модель загроз, що й подвійний клік на вкладення електронної пошти з 2003 року. Ви можете перевірити запис CVE через каталог MITRE, поки патчі поширюються.

З точки зору зловмисника, сценарій очевидний. Створюєш репозиторій, що виглядає як легітимне тестове завдання для senior Go-розробника. Вбудовуєш payload у конфіг воркспейсу. Чекаєш, поки кандидат клонує і відкриє. Payload виконується, збирає `~/.aws/credentials`, змінні середовища та будь-які кешовані session токени, і відправляє їх на підконтрольний зловмиснику ендпоінт. Розробник бачить звичайний проєкт. До того часу, як хтось помічає egress, credentials вже запускають EC2-інстанції або спустошують S3.

Вектор з тайпосквотованими пакетами гірший, бо масштабується. Одна шкідлива залежність, підтягнута до популярного шаблонного репозиторію, дає зловмиснику постійний потік жертв, які ніколи не переглядали цей файл. Вектор шкідливого PR цілить безпосередньо в мейнтейнерів, тобто в найпривілейованіші облікові записи в організації. У виробничих інцидентах, пов'язаних з компрометацією робочих станцій розробників, першопричина майже завжди одна: інструмент тихо виконує введення, яке розробник вважав нешкідливим.

Моя думка: це покоління AI-coding-assistant того самого класу баґів, що вражав плагіни редакторів десятиліття тому, і патерн виправлення не змінився. Трактуйте конфігурацію, надану репозиторієм, як ненадійні дані, блокуйте виконання явною згодою та ізолюйте language server від областей з credentials.

Хто Постраждає

Три групи піддаються ризику, у порядку спадання серйозності наслідків.

По-перше, будь-яка команда, що використовує pinned версії IDE або розширень з міркувань compliance чи відтворюваності. AWS каже, що language server оновлюється автоматично для більшості користувачів, але слово «більшості» тут несе велике навантаження. Regulated iGaming-оператори на Мальті та в Гібралтарі часто заморожують інструменти розробника, щоб задовольнити аудиторів контролю змін. Фінтех-компанії в рамках DORA роблять те саме. Цим командам тепер потрібно підтвердити, що їхні pinned версії включають патч від 12 травня, або швидко оновитись.

По-друге, будь-яка організація, що використовує довготривалі AWS access keys на ноутбуках розробників. Якщо робоча станція була скомпрометована між появою баґу та виходом патча, credentials, що вона містила, слід вважати скомпрометованими. Ротація — не опціональна. Команди, з якими я працював і які пропускали ротацію після подібних інцидентів, виявляли через кілька місяців, що забутий IAM-користувач тихенько запускав crypto miners у us-east-2.

По-третє, інженерні організації, що проводять зовнішні coding-оцінювання. Вектор фейкового тестового завдання цілить безпосередньо у ваш hiring pipeline. Кожен кандидат, який відкривав take-home у вразливий період, — потенційна зона ураження, як і кожен інтерв'юер, що відкривав відповідь кандидата. Це б'є в обидва боки.

Незручний висновок: цей клас баґів повторюватиметься. AI coding-асистенти змагаються у додаванні агентних функцій, що за визначенням означає виконання дій від імені користувача. Кожна нова можливість — це ще одна точка прийняття рішення, де вендор обирає між зручністю та безпекою. Ринок зараз винагороджує зниження тертя. Очікуйте більше CVE у цій формі для Copilot, Cursor, Cody та всього, що вийде наступного кварталу. У розкритті прямо зазначено, що подібні вразливості вже з'явилися в інших AI-інструментах для написання коду.

Сценарій Дій для Команд Безпеки

Конкретні дії на цей тиждень, у порядку пріоритетності.

Підтвердіть, що розширення Amazon Q Developer оновлено на кожному IDE у вашому парку: Visual Studio Code, JetBrains, Eclipse та Visual Studio. Не довіряйте заяві про автооновлення, поки не перевірите встановлені версії відносно релізу після 12 травня. На ноутбуках під MDM це одна команда. Магазини з BYOD мають надіслати чітке повідомлення.

Виконайте ротацію будь-яких AWS access keys, session токенів та сторонніх API ключів, що знаходились на робочих станціях розробників між 20 квітня та 12 травня або раніше, якщо хочете перестрахуватись щодо експлуатації до розкриття. Якщо у 2026 році ви досі видаєте інженерам довготривалі IAM user keys, цей інцидент має підштовхнути вас до короткотривалих credentials через IAM Identity Center або аналог.

Перевірте свій hiring-процес. Будь-який workflow тестового завдання, що передбачає відкриття зовнішнього репозиторію в основному середовищі розробки, має перейти до одноразової VM, devcontainer або хмарного сандбоксу. Це дешева страховка, і вона назавжди закриває вектор фейкового тесту.

Додайте інвентаризацію розширень IDE до вашого управління активами. Більшість команд безпеки відстежують патчі ОС та версії браузерів, але мають нульову видимість того, які розширення запускають розробники. Ця прогалина тепер є відомим шляхом для credential-exfiltration. Звіряйте знахідки з каталогом CISA KEV, коли з'являтимуться звіти про експлуатацію.

Нарешті, напишіть односторінкову внутрішню політику: жоден AI coding-асистент не встановлюється на робочу станцію, що містить виробничі credentials, і крапка. Розробники можуть запускати асистентів в ізольованих середовищах. Витрати на зручність реальні. Альтернатива — гірша.

Ключові Висновки

• CVE-2026-12957 дозволяв розширенню Amazon Q Developer автоматично виконувати команди з файлів конфігурації воркспейсу, розкриваючи AWS credentials при відкритті репо.
• AWS випустив патч 12 травня після розкриття від Wiz 20 квітня, але магазини з pinned версіями залишаються вразливими, поки не перевірять оновлення.
• Вразливість торкнулась Visual Studio Code, JetBrains, Eclipse та Visual Studio — це крос-IDE проблема бекенду, а не баґ одного редактора.
• Фейкові тестові завдання, тайпосквотовані пакети та шкідливі pull requests — три живих вектори атаки, визначених Wiz.
• Виконайте ротацію хмарних credentials розробників, ізолюйте зовнішні репозиторії в сандбоксі та проінвентаризуйте розширення IDE до виходу наступного CVE для AI-асистента.